Perspectivas sobre códigos seguros

En Secure Code Warrior constantemente en innovaciones para mejorar la experiencia de nuestros clientes y crear valor añadido a través de la plataforma.

Este mes tenemos nuevas actualizaciones para la experiencia del administrador en Courses, lo posible, con un breve tiempo de mantenimiento temprano para nuevas funciones, y publicado para SAP:ABAP-content.

Gracias a una potente vista tabular con la posibilidad de realizar acciones masivas para idiomas y categorías de vulnerabilidades, los cursos de administrador ahora se pueden gestionar más fácilmente, lo que permite ofrecer una mejor experiencia al usuario final. Por cierto, ahora se puede acceder a un sencillo interruptor de encendido/apagado, desde el principio en las nuevas funciones.

¡Vamos a sumergirnos y aprender más!

Con nuestra nueva experiencia en la creación de courses crear y gestionar courses de forma sencilla.

Ahora es muy fácil courses múltiples itinerarios de aprendizaje e idiomas con acciones masivas. En lugar de dedicar tiempo a repetir el proceso, puedes centrarte más en el contenido y la estrategia, lo que hará que tu desarrollo sea un aprendizaje eficiente.

Actualmente hay actualizaciones disponibles para el proceso del pedido del curso.

Ahorra tiempo con el diseño de courses una potente vista tabular y búsqueda.

La información sobre cursos para todos los idiomas y categorías de vulnerabilidades ahora está disponible en una sola vista, lo que le permite crear cursos más rápidamente para diferentes equipos de desarrollo.

Gracias a la nueva vista tabular, puede obtener fácilmente una visión general del contenido de un vistazo o examinar los detalles con mayor precisión. Ahora también es más fácil navegar por los cursos incluidos, ya que están agrupados por idioma y categorías de vulnerabilidades, y se incluyen detalles adicionales como los tipos de actividades, el grado de dificultad y más información sobre cada nivel del grupo.

Esto también puede hacerse en los detalles, si desea centrarse en la función de búsqueda o utilizar el filtro. Además, los datos de las tablas pueden exportarse a otra aplicación o analizarse más a fondo exportando todas las filas o las filas filtradas a un archivo CSV.

‍

Vuelve a crear más con menos clics gracias a las acciones masivas.

Puede realizar varios cambios en el curso desde un solo lugar, en lugar de aplicar los cambios en todos los idiomas. Las acciones colectivas ahorran tiempo a los administradores y les permiten centrarse en lo esencial: diseñar la experiencia de curso adecuada para los desarrolladores.

Entre las nuevas acciones masivas se incluyen:

• Añadir un curso schwerpunkt, por ejemplo, OWASP Top 10 o schwachstellenkategorien específicas para todos los lenguajes.
• Añade idiomas a un curso y el contenido se actualizará rápidamente.
• Módulo para copiar, bloquear o desbloquear líneas seleccionadas o todas las líneas.
• Idiomas o módulos del curso
• Configure un mensaje de bienvenida y de despedida para todos los idiomas.

‍

Evaluación al final del curso

Ahora se puede ajustar la evaluación al final del curso para cualquier idioma y gestionarla desde una única vista.

Puede crear fácilmente rutas de prueba personalizadas basadas en el idioma y el tipo de curso para medir y evaluar las habilidades al finalizar el curso.

Accede antes que nadie a las nuevas funciones.

‍

Si quieres saber qué nuevas funciones se incorporarán en el futuro y deseas probarlas antes de que estén disponibles para el público general, debes hablar con tu gestor de éxito del cliente y esperar a que nuestro equipo active las funciones para ti.

Ahora también puedes controlar cuándo y qué función deseas activar para tu equipo, ya que puedes cambiar fácilmente en la pestaña Administración. No es necesario esperar más.

Ve a Administración > Más > Acceso anticipado para reconsiderarlo.

Esta función se utiliza para más funciones, especialmente para aquellas que incluyen cambios significativos en la experiencia del usuario, ya que permite controlar mejor la experiencia.

¿Tienes curiosidad por saber qué funciones están disponibles para el acceso anticipado? Echa un vistazo a algunas de las opciones actuales en:

> Una página de inicio mejorada para una experiencia uniforme.

> Información actualizada sobre los cursos:

1. Modo de estado en la vista previa
2. Acciones masivas para contenidos del curso
3. Mensaje de bienvenida mundial
4. Mejoras en las actividades al final del curso

Actualmente, los administradores de empresas tienen a su disposición las opciones de acceso anticipado.

Proteja las aplicaciones ABAP con nuevos contenidos formativos publicados.

Ahora, los desarrolladores que programan en ABAP pueden participar en una formación sobre programación segura entretenida y relevante. La nueva formación ayudará a los desarrolladores a mejorar su capacidad de programación segura y a reducir las brechas de seguridad en el código ABAP.

Con las tareas y missions Secure Code Warrior missions ejercicios prácticos) Secure Code Warrior se puede ofrecer un programa que incluye lo siguiente:

1. Formación a su propio ritmo, en la que los desarrolladores pueden participar cuando lo necesiten.
2. Rutas de aprendizaje específicas adaptadas al cumplimiento normativo, los marcos de seguridad o las habilidades del desarrollador.
3. Divertidos concursos de programación
4. Revisiones seguras de la competencia en codificación

Lea aquí más sobre nuestros contenidos formativos sobre ABAP.

------

¿Quieres Secure Code Warrior , pero aún no tienes una cuenta? Regístrate hoy mismo para obtener una cuenta de prueba gratuita y empezar a utilizarlo.

¡Esta es la última de las nuevas funciones de este mes! Sigue a Secure Code Warrior Twitter para recibir actualizaciones sobre las últimas versiones y mejoras.

Cuando las vulnerabilidades de seguridad del software se tratan como algo secundario o como un obstáculo para la innovación, las empresas se exponen a violaciones de la privacidad, daños a su reputación y costosas responsabilidades legales. Los ciberataques suelen aprovechar vulnerabilidades en el código que podrían haberse evitado con prácticas de desarrollo más sólidas.

La codificación segura aborda estos retos integrando principios de seguridad en cada fase del desarrollo. En lugar de implementar correcciones después de descubrir vulnerabilidades de seguridad, los desarrolladores escriben código con protección integrada contra amenazas comunes, como los ataques de inyección y el cross-site scripting (XSS). Veamos más de cerca cómo la codificación segura puede ayudar a su empresa a reducir los riesgos, mantener la confianza de los usuarios y cumplir con los requisitos normativos, al tiempo que proporciona un software fiable y de alta calidad.

¿Qué es la codificación segura?

La codificación segura es el principio por el cual se siguen las mejores prácticas de seguridad al escribir software para corregir posibles vulnerabilidades de seguridad. En lugar de tratar la seguridad como una fase de desarrollo separada, la codificación segura integra medidas de protección probadas desde el principio. Esto garantiza que los desarrolladores asuman la responsabilidad de la seguridad del código y tengan las habilidades necesarias para aplicarla de manera eficaz.

Las normas reconocidas para la codificación segura, desarrolladas por organizaciones como el Open Worldwide Application Security Project (OWASP) o el departamento CERT del Software Engineering Institute, pueden servir de guía para los desarrolladores que desean evitar los errores más comunes que aprovechan los atacantes. En el panorama actual de la ciberseguridad, es imprescindible seguir desarrollando habilidades básicas y prácticas en el ámbito de la codificación segura para implementar estas estrategias de forma segura en los flujos de trabajo existentes. Por ejemplo, la validación de tantas entradas de usuario como sea posible puede prevenir los ataques de inyección SQL, mientras que la codificación de salida ayuda a bloquear el XSS. Estos y otros métodos de codificación segura reducen el riesgo de vulnerabilidades y dan lugar a aplicaciones más resistentes, capaces de hacer frente a las ciberamenazas en constante evolución.

¿Por qué es tan importante la codificación segura?

La codificación segura es importante porque muchos ciberataques exitosos aprovechan vulnerabilidades que podrían haberse evitado durante el desarrollo. Al dar prioridad a las prácticas seguras desde el principio, se reduce la probabilidad de que se introduzcan vulnerabilidades que los atacantes puedan aprovechar para poner en peligro los datos o interrumpir las operaciones. La integración de la seguridad en cada fase del ciclo de desarrollo de software (SDLC) garantiza que cada función, actualización e integración se haya diseñado teniendo en cuenta la protección.

La gestión proactiva de los riesgos durante el desarrollo es mucho más rentable que solucionarlos después de la implementación, donde pueden ser necesarios parches de emergencia, tiempos de inactividad y recursos para responder a incidentes. También mejora el cumplimiento de las normativas de protección de datos y evita posibles multas y problemas legales. Las prácticas de codificación seguras también fomentan la confianza de los consumidores en su empresa y convierten la seguridad sólida en parte de la reputación de su marca.

Faltas de seguridad frecuentes en el código

La codificación segura tiene como objetivo prevenir las vulnerabilidades de seguridad más comunes y peligrosas que aprovechan los atacantes, así como los nuevos vectores de amenaza, como los que surgen, por ejemplo, al utilizar herramientas de codificación con IA. A continuación, se ofrece una descripción general de algunas vulnerabilidades de seguridad frecuentes, el daño que pueden causar y cómo la codificación segura puede ayudar a mitigarlas.

Error al deserializar

Los errores de deserialización se producen cuando una aplicación acepta y procesa datos de fuentes externas sin una validación adecuada. La serialización convierte los objetos a un formato que se puede almacenar o transmitir, mientras que la deserialización reconstruye estos objetos para su uso. Un error de deserialización puede tener graves consecuencias y provocar la ejecución de código arbitrario o la escalada de privilegios. La codificación segura soluciona este problema garantizando que solo se deserialicen datos fiables y validados, y evitando por completo, en la medida de lo posible, la deserialización nativa de entradas no fiables.

Ataques de inyección

Los ataques de inyección se producen cuando un atacante introduce datos que la aplicación interpreta como parte de un comando o una consulta. El tipo más conocido es la inyección SQL, en la que se insertan instrucciones SQL maliciosas en las consultas para acceder al contenido de la base de datos o modificarlo. Otros tipos son las inyecciones de comandos, en las que los atacantes ejecutan comandos arbitrarios, y las inyecciones LDAP (Lightweight Directory Access Protocol). Las consecuencias de los ataques de inyección son de gran alcance y van desde el acceso y la eliminación no autorizados de datos hasta la completa vulnerabilidad del sistema. Las bases de datos que contienen información personal, financiera o empresarial sensible son los principales objetivos. La codificación segura ayuda a evitar las brechas de seguridad mediante la inyección, utilizando consultas parametrizadas o instrucciones preparadas, enmascarando los datos no fiables antes de su procesamiento y aplicando una estricta validación de entradas. Estos y otros métodos de codificación segura pueden impedir que los atacantes modifiquen el comportamiento previsto de la aplicación.

Scripting entre sitios (XSS)

El scripting entre sitios (XSS) es un tipo de ataque de inyección que se dirige a aplicaciones web mediante la inserción de scripts maliciosos en páginas que ven otros usuarios. Esto suele ocurrir cuando una aplicación incluye entradas de usuario no validadas en su salida. Cuando el navegador de otro usuario renderiza la página, se ejecuta el script malicioso, que puede robar cookies, registrar las pulsaciones del teclado o redirigir al usuario a sitios web maliciosos.

Entre los efectos del XSS se pueden incluir el secuestro de sesiones y el robo de identidad. Para las empresas, esto socava la confianza de los clientes y puede acarrear consecuencias normativas si se comprometen datos sensibles. La codificación segura aborda el XSS limpiando y codificando todas las entradas introducidas por el usuario antes de mostrarlas. Para ello, se utilizan marcos que enmascaran automáticamente la salida y se implementa una política de seguridad de contenidos (CSP) para restringir los scripts que se pueden ejecutar.

Control de acceso

Las brechas de seguridad en el control de acceso se producen cuando las reglas sobre lo que los usuarios pueden ver o hacer no se definen o aplican correctamente. Un control de acceso interrumpido permite a los atacantes eludir las restricciones de roles de usuario previstas y leer datos potencialmente confidenciales, modificar registros o realizar acciones que solo están destinadas a usuarios con privilegios.

Los problemas con el control de acceso suponen un gran reto, y las herramientas de codificación de IA, en particular, han tenido dificultades para hacer frente de manera eficaz a este tipo de vulnerabilidades, lo que pone de relieve la necesidad de que los desarrolladores cuenten con las habilidades y la concienciación adecuadas. Las consecuencias de una interrupción en el control de acceso son considerables. Por ejemplo, si un atacante puede acceder a funciones que solo están destinadas a los administradores, podría desactivar la configuración de seguridad, extraer información privada o suplantar la identidad de otros usuarios.

Las prácticas de codificación seguras contrarrestan estos riesgos al aplicar comprobaciones de autorización del lado del servidor para cada solicitud, seguir el principio de privilegios mínimos y evitar depender exclusivamente de medidas de seguridad poco claras (como ocultar enlaces). Además, la realización de pruebas rigurosas de control de acceso ayuda a garantizar que estas medidas de protección sigan siendo eficaces a largo plazo.

Falsificación de solicitudes entre páginas (CSRF)

Los ataques de falsificación de solicitudes entre sitios (CSRF) obligan al usuario a realizar una acción no deseada en otro sitio web en el que está autenticado. Esto puede ser una transferencia de fondos, un cambio de dirección de correo electrónico o una modificación de la configuración de la cuenta. El ataque funciona porque el navegador adjunta automáticamente tokens de autenticación válidos, como cookies, a la solicitud falsificada.

La codificación segura protege contra CSRF mediante la implementación de tokens anti-CSRF, que son únicos para cada sesión de usuario y se validan en cada solicitud que cambia el estado. Entre las medidas de protección adicionales se incluyen la solicitud de una nueva autenticación para acciones críticas y la configuración del atributo SameSite para las cookies, con el fin de evitar que estas se envíen en solicitudes entre sitios. Al integrar estas medidas de protección en el ciclo de desarrollo, puede aumentar la probabilidad de que su sistema solo procese acciones legítimas e intencionadas.

Autenticación insegura

La autenticación insegura se produce cuando el proceso de verificación de la identidad de un usuario es débil, predecible o defectuoso por cualquier otro motivo. Esto puede deberse a políticas de contraseñas deficientes, almacenamiento inseguro de la información de inicio de sesión o falta de autenticación multifactorial (MFA). Los atacantes pueden aprovechar estas vulnerabilidades mediante una variedad de métodos, entre los que se incluyen los ataques de fuerza bruta, el relleno de credenciales o la interceptación de datos de inicio de sesión sin cifrar durante la transmisión. La autenticación insegura tiene graves consecuencias, ya que puede proporcionar a los atacantes acceso directo a las cuentas de usuario, los controles administrativos y los datos confidenciales. Una vez que han penetrado en el sistema, pueden seguir comprometiéndolo o llevarse información valiosa.

La codificación segura soluciona esta vulnerabilidad mediante la aplicación de requisitos estrictos para las contraseñas, el hash y el salado de las credenciales almacenadas, el uso de protocolos seguros como HTTPS para todos los procesos de autenticación y la integración de la autenticación multifactorial (MFA) para proporcionar una capa adicional de verificación. Los desarrolladores también deben diseñar mecanismos de inicio de sesión que limiten los intentos fallidos y detecten actividades sospechosas de forma temprana, de modo que los sistemas de autenticación sirvan como una línea de defensa sólida y no como un punto débil.

6 prácticas de codificación seguras que deben seguirse

Crear software seguro implica mucho más que saber qué amenazas existen. Requiere aprender e incorporar prácticas y patrones de codificación seguros y probados. Las siguientes técnicas ofrecen pasos prácticos que los desarrolladores pueden seguir para hacer de la seguridad una parte integral de cada proyecto.

1. Implemente el control de acceso de usuarios.

Como se mencionó anteriormente, el control de acceso de los usuarios implica definir y aplicar permisos para cada rol de usuario en su sistema. Un control de acceso sólido evita que usuarios no autorizados vean datos confidenciales, modifiquen registros o realicen acciones administrativas. También limita el daño si se compromete una cuenta de usuario, ya que un atacante solo tendrá los permisos de esa cuenta.

Un control eficaz del acceso de los usuarios requiere una autenticación sólida para verificar la identidad, seguida de comprobaciones de autorización para confirmar que el usuario autenticado está autorizado a realizar la acción solicitada. Debe revisar periódicamente sus procedimientos de control de acceso para alinearlos con el principio del mínimo privilegio y conceder a los usuarios el acceso mínimo necesario para realizar su trabajo. El control de acceso también se basa en una supervisión periódica para mantener actualizadas las políticas y los usuarios del sistema, así como en auditorías que detectan rápidamente cualquier actividad inusual.

2. Validar y limpiar los datos.

Durante la validación y limpieza de datos, todas las entradas entrantes se comprueban antes de su procesamiento para garantizar que se ajustan a los formatos, tipos y patrones esperados. A continuación, los datos se limpian para eliminar cualquier contenido potencialmente peligroso. Estos procedimientos deben aplicarse a los datos entrantes de cualquier fuente externa, ya que incluso las fuentes fiables pueden estar en peligro. Por lo tanto, toda entrada debe tratarse como no fiable hasta que se haya verificado. Al integrar la validación y la desinfección en el proceso de desarrollo, se asegura de que su aplicación esté protegida contra amenazas comunes, como los ataques de inyección.

3. Escriba en un lenguaje moderno.

La programación segura no solo se refiere a cómo se escribe el código. También se trata de seleccionar herramientas y entornos que faciliten la prevención de vulnerabilidades de seguridad desde el principio. Aunque el cambio completo a un lenguaje moderno no suele ser una opción realista o eficiente para muchas empresas, la seguridad del software puede mejorarse, al menos en parte, mediante el uso de un lenguaje de programación moderno y la última versión de todos los lenguajes seleccionados. Los lenguajes y marcos modernos suelen ofrecer una mayor seguridad de la memoria, una comprobación de tipos más estricta y protección integrada contra vulnerabilidades comunes. Por ejemplo, lenguajes como Rust y Go se han diseñado teniendo en cuenta la seguridad y ayudan a evitar problemas como los desbordamientos de búfer, a los que los lenguajes más antiguos podrían ser más vulnerables.

Los lenguajes establecidos como Java o Python pueden ser difíciles de modernizar y proteger, pero si se mantiene al día con las últimas versiones, tendrá acceso a las últimas funciones de seguridad y mejoras de rendimiento. Muchas actualizaciones corrigen vulnerabilidades conocidas, eliminan funciones inseguras y ofrecen configuraciones predeterminadas más seguras.

4. Practica el encubrimiento de código.

El ocultamiento del código dificulta a los atacantes comprender, revertir o manipular su código fuente o código compilado. Aunque no sustituye a otras medidas de seguridad, ofrece una capa adicional de protección al ocultar la lógica y las rutinas sensibles de la aplicación de miradas indiscretas. El enmascaramiento puede incluir técnicas como renombrar variables y funciones con identificadores sin sentido o reestructurar el código de manera que resulte más difícil de seguir.

El objetivo es aumentar los costes y el esfuerzo que un atacante necesita para encontrar y aprovechar las vulnerabilidades de seguridad. En la codificación segura, la ofuscación se combina con otras prácticas de seguridad sólidas para que su aplicación resulte menos atractiva como objetivo.

5. Escanee y supervise su código.

Las prácticas de codificación seguras también incluyen el escaneo y la supervisión activos de su código. Las herramientas de pruebas de seguridad de aplicaciones estáticas (SAST) analizan su código fuente antes de la implementación en busca de vulnerabilidades conocidas, mientras que las herramientas de pruebas de seguridad de aplicaciones dinámicas (DAST) comprueban las aplicaciones en ejecución en tiempo real en busca de vulnerabilidades explotables. La combinación de ambos enfoques le permite detectar problemas de forma temprana y continua.

Además del escaneo durante el desarrollo, es importante implementar una supervisión continua en la producción. Esto incluye la configuración de alertas para actividades inusuales, el registro de eventos de seguridad y el uso de herramientas RASP (Runtime Application Self Protection) para detectar y repeler ataques en tiempo real. Los escaneos y supervisiones periódicos garantizan que, incluso si surgen vulnerabilidades de seguridad durante el desarrollo, usted tenga una visión general para solucionarlas rápidamente antes de que se produzcan daños importantes.

6. Documente e implemente estándares de codificación seguros.

La documentación de estándares de codificación seguros consiste en crear directrices claras que definan cómo su equipo escribe código seguro, mantenible y compatible. Estos estándares deben abarcar temas como la validación de entradas, el manejo de errores, las prácticas de cifrado y la gestión de sesiones, así como la corrección de vulnerabilidades de seguridad comunes específicas de su pila tecnológica.

La introducción de estas normas garantiza que todos los desarrolladores, desde los ingenieros noveles hasta los arquitectos experimentados, sigan los mismos principios de seguridad. En combinación con cursos de formación y actualizaciones periódicas, estas normas se convierten en un recurso vivo que garantiza que su proceso de desarrollo cumpla con los últimos requisitos de seguridad.

Estándares y marcos de codificación seguros

Si necesita ayuda para crear sus propios estándares de codificación, las siguientes directrices populares pueden resultarle útiles. Abarcan una serie de prácticas que corrigen vulnerabilidades de seguridad frecuentes y pueden ayudarle a comprender cómo alinear sus esfuerzos de codificación con las mejores prácticas del sector.

Prácticas seguras de codificación OWASP

OWASP es una de las fuentes más conocidas para los desarrolladores que desean integrar la seguridad en su código desde el principio hasta el final. Produce importantes recursos de codificación segura, como la Guía del desarrollador de OWASP y el Top 10 de OWASP. El enfoque de OWASP es extremadamente práctico y ofrece listas de verificación y consejos de programación que los desarrolladores pueden aplicar durante el desarrollo.

El cumplimiento de las directrices de OWASP beneficia a los equipos, ya que crean una base común para la codificación segura en todos los proyectos. Dado que OWASP se actualiza periódicamente para tener en cuenta los nuevos vectores de amenaza y técnicas de ataque, las empresas pueden utilizarlo para adelantarse a los nuevos riesgos. Al integrar los principios de OWASP en su flujo de trabajo, mejorará la calidad del código, reducirá las vulnerabilidades de seguridad y se orientará según las directrices generalmente aceptadas en el sector.

Marco del NIST para el desarrollo seguro de software

El Instituto Nacional de Estándares y Tecnología (NIST) también publica guías completas sobre codificación segura y marcos de ciberseguridad más amplios. Además de proporcionar información sobre prácticas de desarrollo de software altamente seguras, el Marco del NIST para el desarrollo seguro de software (SSDF) ofrece un vocabulario común que mejora la comunicación sobre temas importantes entre los equipos de su empresa. Se centra más en los resultados que en técnicas específicas, por lo que es más adecuado como complemento de otras normas, como OWASP o las normas de codificación SEI CERT.

Normas de codificación SEI CERT

Desarrolladas por el departamento CERT del Instituto de Ingeniería de Software (SEI), las normas de codificación SEI CERT se centran en evitar vulnerabilidades de seguridad en determinados lenguajes de programación, incluidos C, C++, Java y Perl. Cada norma específica de un lenguaje contiene reglas de codificación seguras, explicaciones detalladas y ejemplos de código conforme y no conforme. Dado que las normas de codificación CERT abordan los matices y peculiaridades de determinados lenguajes de programación, resultan extremadamente valiosas y aplicables para los desarrolladores que trabajan en estos entornos.

Ciclo de vida del desarrollo de seguridad de Microsoft

El ciclo de vida de desarrollo de seguridad (SDL) de Microsoft es un conjunto de prácticas cuyo objetivo es convertir la seguridad en una parte integral del proceso de desarrollo de software. Incluye recomendaciones sobre 10 temas importantes, entre los que se incluyen el modelado de amenazas, la formación en seguridad para desarrolladores y la protección de la cadena de suministro de software. Microsoft utiliza este enfoque, por lo que las empresas se benefician de un proceso probado en el que los desarrolladores, los evaluadores y los equipos de seguridad trabajan de forma coordinada.

ISO/CEI 27001

La norma ISO/IEC 27001 es conocida principalmente como estándar para los sistemas de gestión de la seguridad de la información (SGSI), pero también tiene un fuerte impacto en la codificación segura. Aunque se centra en la implantación de un SGSI en toda la empresa, incluye principios de codificación segura. Estas recomendaciones ofrecen directrices de alto nivel que las empresas pueden seguir para implementar prácticas de codificación seguras.

Normas de seguridad KI

Las herramientas de codificación con IA son más prácticas que nunca, pero pueden hacer más daño que bien si su uso no da como resultado un código seguro y preciso. Las reglas de seguridad de Secure Code Warriors para la IA, las primeras de su tipo, proporcionan orientación sobre las mejores prácticas de codificación segura que se pueden utilizar con herramientas de IA como GitHub Copilot, Cline, Cursor y Windsurf. Estas reglas mantienen al día a sus asistentes de codificación de IA y proporcionan directrices que minimizan el riesgo de código inseguro.

Aprenda desde el principio cómo crear un código seguro.

La codificación segura es más que un simple requisito técnico: es una ventaja comercial decisiva. Si su equipo escribe código seguro desde el principio, evitará costosas brechas de seguridad, reducirá el riesgo de violaciones de datos y ofrecerá un software en el que sus clientes puedan confiar. Sin embargo, dominar las prácticas de codificación segura puede resultar especialmente difícil sin una orientación estructurada. Los desarrolladores necesitan ejercicios prácticos, conocimientos actualizados sobre las amenazas en constante evolución y la capacidad de aplicar con soltura los principios de seguridad en cada línea de código.

Secure Code Warrior la certificación ISO 27001 y cumple con la norma SOC 2. Nuestra plataforma de aprendizaje ágil ofrece a tu equipo exactamente eso. Con formación sobre métodos de seguridad probados específicos para cada lenguaje, retos de programación realistas y contenidos seleccionados para una amplia variedad de funciones, la seguridad pasa de ser una idea secundaria a convertirse en una parte natural del proceso de desarrollo. Los desarrolladores adquieren las habilidades necesarias para detectar y corregir las vulnerabilidades de seguridad en una fase temprana, orientarse por los estándares del sector y asumir toda la responsabilidad de la seguridad del código durante todo el ciclo de desarrollo del software. No es de extrañar que las empresas que Secure Code Warrior reduzcan las vulnerabilidades de software en un 53 %, logren un ahorro de costes de hasta 14 millones de dólares y determinen que el 92 % de sus desarrolladores necesitan formación adicional.

Si desea ver cómo su equipo puede escribir código más seguro y sólido desde el primer día, reserve hoy mismo una Secure Code Warrior.

En Secure Code Warrior constantemente en innovaciones para proporcionar a los desarrolladores y a las empresas las habilidades adecuadas para hacer frente a los retos de seguridad en constante cambio de la actualidad. Lo hacemos mediante nuestra ágil plataforma de aprendizaje de programación segura, que permite a los desarrolladores aprender a su propio ritmo, con las vulnerabilidades de seguridad más completas y fiables que existen actualmente en el sector.

En el último trimestre, Secure Code Warrior ha introducido Secure Code Warrior posibilidades para que los administradores empresariales amplíen los torneos a varias marcas y organizaciones y gestionen más fácilmente a sus usuarios mediante la implementación de SCIM. También nos complace anunciar que en Jira hay disponibles nuevas directrices de codificación, informes de resumen de rendimiento y nuevos flujos de trabajo de programas en versión preliminar.

¡Vamos a sumergirnos para saber más!

Ampliación de la amplitud y profundidad de la plataforma SCW

La ampliación continua de Secure Code Warrior nuevos contenidos contribuye a que nuestros módulos sean relevantes, actuales y estén adaptados a lo que usted necesita saber en el panorama actual de la ciberseguridad. Con una amplitud y profundidad líderes en el sector, con más de 60 lenguajes, es fácil crear y ampliar un programa de aprendizaje ágil para desarrolladores en una gran variedad de lenguajes y marcos de trabajo.

Ahora disponible: Directrices de codificación en Jira

La incorporación de directrices a nuestra integración con Jira ofrece a los desarrolladores un aprendizaje contextual sobre la defensa de la seguridad. Las directrices son más detalladas que los vídeos, se centran en un lenguaje o marco específico y ofrecen fragmentos de código que permiten a los desarrolladores resolver un problema aún más rápido. Ahora, los desarrolladores no solo pueden acceder a vídeos y retos, sino que también pueden leer las directrices de codificación directamente en un problema de Jira para obtener consejos detallados sobre cómo solucionarlo.

Ahora disponible: nuevo contenido de interfaz para desarrolladores

¡Los desarrolladores frontend también necesitan activar el código seguro! Por este motivo, hemos publicado vulnerabilidades de seguridad frontend adicionales en misiones y soluciones completas. Los desarrolladores frontend también podrán acceder a misiones específicas de frontend a través de cursos.

Estas actualizaciones tienen como objetivo cubrir de forma exhaustiva las vulnerabilidades específicas del frontend, desde las más frecuentes, como el XSS basado en DOM, hasta las menos frecuentes, como la inyección de CSS. Las soluciones completas paso a paso ofrecen a los desarrolladores de frontend una guía fiable sobre cómo se aprovechan las vulnerabilidades. Los desarrolladores avanzados también pueden demostrar sus habilidades en misiones de interfaz de usuario en torneos.

Nuevas y emocionantes oportunidades para ampliar su cultura de seguridad

Ahora disponible: Torneos para empresas

‍

Se pueden organizar torneos a nivel empresarial para fomentar una competencia amistosa entre desarrolladores de varias unidades de negocio, filiales, socios y otras empresas. De este modo, se garantiza que se pueda extender una cultura de programación segura a toda la empresa y sus diferentes marcas.

¿Le interesa participar en el torneo definitivo entre varias empresas? Inscríbase en la tercera edición anual de Devolympics, el torneo global de SCW para el Mes de la Concienciación sobre la Ciberseguridad. Si ya es cliente, puede registrarse a través de la plataforma.

Simplificación de la experiencia de los administradores y desarrolladores

Ahora disponible: filtrado de cursos

La posibilidad de aplicar filtros adicionales en la página de administración de cursos facilita mucho a los administradores la tarea de filtrar los cursos en los que desean trabajar. Los cursos se pueden filtrar según diferentes atributos, como el estado, la fecha de finalización y los equipos inscritos.

Ahora disponible: gestiona tus licencias SCW con SCIM.

Ahora, los propietarios de programas y los administradores de empresas pueden gestionar a los desarrolladores a gran escala mediante programas y tener la certeza de que los controles de acceso están siempre actualizados.

La implementación SCIM utiliza su proveedor de identidad para Secure Code Warrior el acceso a Secure Code Warrior . La automatización de estas tareas garantiza la precisión, la seguridad y el cumplimiento, lo que ahorra tiempo y recursos al implementar usuarios. Actualmente, SCW solo admite la implementación SCIM a nivel de usuario y aún no para grupos SCIM.

Disponible en la vista previa: Programar flujos de trabajo

 La configuración de un programa de formación escalable y atractivo para la seguridad del código es ahora más fácil que nunca, ya que la plataforma ha mejorado considerablemente su facilidad de uso. Se han desarrollado programas para ofrecer a los alumnos una orientación más completa a través de la secuencia de cursos y exámenes en programas de varios niveles. Los flujos de trabajo automatizados de los programas ya están disponibles para los clientes que han activado la vista previa en la plataforma. Los flujos de trabajo de los programas garantizan que los desarrolladores sepan por dónde empezar, puedan navegar por los siguientes pasos y avanzar fácilmente por los distintos niveles de un programa de aprendizaje de código seguro. Además, los administradores de las empresas pueden dedicar menos tiempo a configurar y gestionar su programa y animar a los desarrolladores a completar su siguiente actividad de aprendizaje.

¿Necesita consejos sobre cómo impulsar el aprendizaje de código seguro en su empresa? Lea nuestra guía sobre cómo estructurar su programa para alcanzar sus objetivos de seguridad.

Informes y perspectivas del programa

Disponible en la vista previa: Resumen de prestaciones

Como administrador de la empresa, es fundamental supervisar las actividades de su organización para comprender la participación de los desarrolladores y medir el éxito de su programa de aprendizaje de código seguro. Hemos desarrollado una interfaz de informes mejorada que garantiza que los administradores de la empresa obtengan de sus informes la información más útil.

El resumen de rendimiento ofrece una visión general de la finalización de los cursos y evaluaciones para desarrolladores, así como de la precisión media a lo largo del tiempo. El informe también proporciona una comparación significativa del sector, que le permite determinar cómo se desempeña su programa en comparación con los resultados de evaluación habituales en el sector para la evaluación seleccionada.

Este informe sencillo pero significativo marca el inicio de los hallazgos y las cifras clave de Secure Code Warrior previstos para 2024.

¿Quiere Secure Code Warrior , pero aún no tiene una cuenta? Reserve hoy mismo una demostración para obtener más información.

¡Con esto concluyen las nuevas funciones de este trimestre! Siga Secure Code Warrior LinkedIn y X (antes Twitter) para recibir actualizaciones sobre las últimas versiones y mejoras.

‍

‍

El mundo está cambiando rápidamente, independientemente de la empresa o el producto, las cosas se están volviendo cada vez más digitales y dependientes del software. Los desarrolladores envían código más rápido que nunca, pero el 75 % del código sigue siendo revisado por equipos de AppSec, que señalan vulnerabilidades frecuentes y fácilmente evitables.

Existe un enorme riesgo de no dar prioridad al código seguro y a la seguridad como parte importante del proceso de desarrollo de software. De hecho, el coste medio mundial de las violaciones de datos aumentó el año pasado hasta los 4,35 millones de dólares (informe de IBM sobre el coste de una violación de datos en 2022). Los desarrolladores necesitan una formación atractiva e innovadora para mantenerse al día con las nuevas amenazas y el cambio cultural, con el fin de cambiar la mentalidad orientada a la seguridad que ha quedado tras la colaboración con el equipo de seguridad.

En Secure Code Warrior constantemente en innovaciones para proporcionar a los desarrolladores y a las empresas las habilidades adecuadas para hacer frente a los retos de seguridad en constante cambio de la actualidad. Lo conseguimos mediante programas de formación muy atractivos, flexibles y fáciles de gestionar.

En el último trimestre nos hemos centrado en desarrollar nuevos métodos de aprendizaje con Coding Labs (ahora disponible en versión preliminar), habilitar la integración LMS SCORM y crear experiencias de usuario más accesibles y completas, al tiempo que simplificamos la experiencia del administrador para ahorrar tiempo.

¡Vamos a sumergirnos para saber más!

Presentamos: Coding Labs — Aprender al siguiente nivel

En una encuesta reciente del sector (El informe sobre el estado de la seguridad orientada a los desarrolladores 2022), el 40 % de los desarrolladores afirmó que su formación no era lo suficientemente práctica. Coding Labs ayuda a los desarrolladores a mejorar sus habilidades en programación segura mediante formación práctica con programación real y comentarios intuitivos. Y todo ello en un IDE integrado en el navegador, familiar y potente, que hace que pasar del aprendizaje a la práctica sea más fácil que nunca.

En lugar de enfrentarse a instrucciones poco claras y frustrantes sobre lo que está «bien o mal», los desarrolladores pueden estar seguros de que están aprendiendo correctamente y mejorar su comprensión gracias a comentarios en tiempo real y contextualizados. Coding Labs ayuda a los desarrolladores a evitar brechas de seguridad y mejorar la situación de seguridad de su empresa.

Como parte de la plataforma SCW, esta nueva experiencia ofrece una nueva perspectiva para el apoyo a los desarrolladores. Los directivos pueden crear un programa de formación que prepare a los desarrolladores para el éxito. Ofrece contenidos de aprendizaje fáciles de entender y compactos que se adaptan al nivel actual de cada desarrollador. Forme a los empleados con cursos de formación guiados y de fácil acceso para prepararlos para experiencias más exigentes y orientadas a la práctica, como los laboratorios de programación. Los directivos pueden estar seguros de que los desarrolladores encontrarán la formación más atractiva, más fácil de retener y, en última instancia, aplicable al código base para reducir los puntos débiles y evitar revisiones.

Coding Labs ya está disponible en versión preliminar. Si es cliente de SCW, póngase en contacto con su gestor de cuentas para obtener más información sobre cómo acceder.

¿No es cliente de SCW, pero desea mantenerse informado sobre la disponibilidad de Coding Labs? Rellene el formulario aquí.

Visite SCW para obtener más información sobre nuestras innovaciones de productos y ver una demostración de Coding Labs. Inscríbase en el seminario web aquí.

Integre la formación segura en código en su LMS SCORM preferido.

En breve, los administradores de SCW podrán gestionar más fácilmente su programa de formación en códigos de seguridad junto con sus otras plataformas de formación, sin necesidad de realizar tareas de desarrollo manuales. Esto ahorrará tiempo y ayudará a los administradores a centrarse en formas más eficaces de mejorar sus programas de formación.

Si no está familiarizado con este término, SCORM significa Sharable Content Object Reference Model (Modelo de referencia de objetos de contenido compartible). y es un estándar internacional para cursos electrónicos. Si su curso se publica en formato SCORM, puede estar seguro de que casi todos los sistemas de gestión del aprendizaje (LMS) lo reconocerán.

Con la nueva integración SCORM LMS, usted puede:

• Integre los cursos de formación sobre código seguro directamente en su LMS preferido para gestionar a los participantes y las tareas en un solo lugar.
• Siga el progreso y la finalización de su organización.

‍

Asegúrese de que su programa SCW esté integrado directamente en el flujo de trabajo de sus desarrolladores preferidos para mejorar la experiencia del usuario. Los paquetes SCORM se pueden descargar para cursos y exámenes y ofrecen una integración LMS perfecta con plataformas populares como SAP SuccessFactors, Workday, Cornerstone y más.

La integración LMS SCORM estará disponible para los clientes en octubre como versión preliminar. Póngase en contacto con su gestor de cuentas para obtener más información.

Ampliación de la amplitud y profundidad de la plataforma SCW

La ampliación continua de Secure Code Warrior nuevos contenidos contribuye a que nuestros módulos sean relevantes, actuales y estén adaptados a lo que usted necesita saber en el panorama actual de la ciberseguridad. Con una amplitud y profundidad líderes en el sector, con más de 55 idiomas, es fácil crear y ampliar un programa con el que se pueda formar a los desarrolladores en una gran variedad de idiomas y marcos de trabajo.

Aplicaciones ABAP seguras con contenidos formativos recién publicados

Basándonos en nuestra versión gratuita de primavera, nos complace presentar nuevas oportunidades de formación para desarrolladores que programan en ABAP, con 6 nuevas soluciones completas y 14 misiones.

Acceso a una educación flexible y diversa con nuevos retos y contenidos.

Secure Code Warrior esfuerza por publicar continuamente contenidos que se adapten a diferentes niveles de conocimiento, al tiempo que mantiene la relevancia y el nivel de exigencia de nuestros módulos de formación. Este trimestre, SCW ha publicado más contenidos para lenguajes de programación populares, como por ejemplo:

• 33 retos RPG adicionales, una de las principales peticiones de los clientes.
• La capacidad de crear torneos en el juego de rol.
• 10 retos adicionales de Python-Django

Todos los nuevos contenidos ya están disponibles en los grupos de desafíos y se pueden jugar en la plataforma.

Simplificación de la experiencia del administrador y del usuario

La configuración de un programa de formación escalable y atractivo para la seguridad del código es ahora más fácil que nunca, ya que la plataforma ha mejorado considerablemente su facilidad de uso.

Simplemente edite un curso publicado.

Manténgase al día con las nuevas posibilidades de edición de los programas existentes, adaptándose a los requisitos en constante cambio de su organización y su programa de formación. La versión de los cursos permite a los administradores editar sus cursos existentes sin tener que crear uno nuevo. Esta era una de las funciones más solicitadas por los clientes.

Las actualizaciones incluyen:

• Añadir nuevos idiomas a un curso publicado
• Añadir/actualizar/eliminar módulos y contenidos de actividades en el curso
• Añadir/actualizar/eliminar actividades al final del curso
• La plataforma almacena una versión principal de un curso para crear una versión básica.

Acceda a los cursos desde la pantalla de inicio.

Al añadir un botón «Continuar» en la nueva página de inicio, se muestra una lista con tarjetas de actividades que permiten a los usuarios reanudar rápidamente los módulos iniciados anteriormente. Ahora los usuarios también pueden ver una ventana en la pantalla de inicio en la que pueden ver todos los módulos que aún no han completado.

De esta manera, los usuarios pueden continuar de manera efectiva donde lo dejaron si tienen que interrumpir un curso o un examen, sin perder su progreso.

‍

Ambas funciones están disponibles para las cuentas que hayan activado el acceso anticipado a la plataforma. Si tiene alguna pregunta sobre el acceso, póngase en contacto con su gestor de cuentas.

Diseño inclusivo y sin barreras

En Secure Code Warrior que el lenguaje y el diseño tienen el poder de tender puentes y mejorar la comprensión, conectando a diferentes grupos de usuarios en el marco de nuestra misión de promover la codificación segura. Nuestro objetivo es crear una experiencia inclusiva y accesible, y nos complace seguir avanzando en el ámbito del diseño accesible.

Tradicional chino ahora disponible

Con la ampliación de los idiomas disponibles en la plataforma al chino tradicional, seguimos construyendo una comunidad de desarrolladores verdaderamente global que puede acceder a las herramientas que necesita para convertirse en expertos en seguridad.

Puede acceder a los idiomas a través del menú desplegable en la configuración. El chino tradicional también está disponible con subtítulos de vídeo en nuestra sección de recursos.

Participe en el seminario web ProductTalk el 5 de octubre de 2022.

¿Quieres saber más? Participa en nuestro seminario web ProductTalk el 5 de octubre de 2022 para conocer las interesantes novedades y nuevas funciones de la mano de los miembros de nuestros equipos de producto, y obtener más información sobre el cambiante panorama de la seguridad impulsado por los desarrolladores.

Inscríbase en el seminario web aquí.

¿Quieres Secure Code Warrior , pero aún no tienes una cuenta? Regístrate para obtener una cuenta de prueba gratuita hoy mismo y empieza a utilizarlo.¡

Con esto terminamos las nuevas funciones de este trimestre! Sigue a Secure Code Warrior Twitter para recibir actualizaciones sobre las últimas versiones y mejoras.

El código inseguro le costó millones a la empresa. ¿Qué hay de la introducción de prácticas de codificación seguras?

En un mundo que depende casi por completo del software, es fundamental garantizar la seguridad del código. La demanda del mercado y la rentabilidad financiera lo exigen. Sin embargo, existen muchas preocupaciones en torno a la seguridad del código, y son muchos los obstáculos que impiden su introducción completa y eficaz. Más que nunca, se requiere un nuevo método de trabajo. Por ello, en 2020, Evans Data Corp. encargó Secure Code Warrior la realización de una investigación primaria* sobre la actitud de los desarrolladores y sus gerentes hacia la programación segura, los procedimientos de código seguro y los procesos de seguridad (descargar el informe técnico). aquí).

Actualmente, a la empresa le resulta difícil implementar prácticas de código seguras. Los desarrolladores y los gerentes asumen las brechas de seguridad y la responsabilidad del código como una responsabilidad especial.

Es evidente que se necesitan mejores cursos de formación y un programa que fomente prácticas de codificación seguras. Esta necesidad es clara, si tenemos en cuenta las preocupaciones de los desarrolladores y sus responsables en lo que respecta a la codificación segura. Nuestra investigación* ha demostrado que estos dos grupos comparten las mismas preocupaciones fundamentales. Sin embargo, debido a sus diferentes funciones, difieren en cuanto a cuáles de estas preocupaciones son más urgentes.

El principal problema para los desarrolladores es la «introducción de código, que reproduce las brechas de seguridad anteriores». No es de extrañar que los desarrolladores se fijen en la calidad de sus códigos. Ningún desarrollador quiere ser la fuente de código inseguro, ni de código que deba revisarse y ralentice al equipo.

El segundo problema más importante para los desarrolladores es cómo lidiar con los errores causados por los empleados. El cumplimiento de los términos y la responsabilidad por el código también están siempre en lo alto de la lista; además, el hecho de que aprender a escribir código seguro sea un reto fue otro requisito para un nuevo proceso de formación en código seguro.

El gerente ve más bien desde arriba que desde abajo.

Como jefa de equipo y líder de equipo, sus principales empleados son los responsables del código. Cuando un equipo produce código, la responsabilidad recae en el gerente.

El código, que replica las vulnerabilidades de seguridad anteriores, ocupa el segundo lugar. El hecho de que el proceso de aprendizaje sea un reto ocupa el tercer lugar. Dado que las medidas actuales de formación en código seguro no están dando resultado, los directivos se dan cuenta de que es necesario un nuevo enfoque. ‍

Obstáculos para la introducción de prácticas de codificación seguras

A medida que gestionamos los obstáculos, la introducción de prácticas de codificación seguras en sus organizaciones, hay dos cosas que quedan claras: la comunicación y la formación.

El 45 % mencionó la falta de comunicación entre las partes interesadas y la dirección como un obstáculo importante. El 42 % se queja de la falta de conocimientos sólidos de programación entre los nuevos empleados. Al mismo tiempo, el 40 % indicó que el tiempo de formación y los recursos eran insuficientes.

Existen obstáculos relacionados con los procesos y el personal que dificultan la introducción satisfactoria de prácticas de código seguro en todas las empresas.

Pero, a pesar de estos problemas persistentes, aún puede lograr avances. La falta de conocimientos sólidos de programación con nuevas configuraciones y la insuficiencia de formación y recursos son fáciles de superar.

Los desarrolladores están en primera línea cuando se trata de cerrar brechas de seguridad. Pero, ¿reciben el apoyo, las herramientas y la formación que les corresponde en el acuerdo de seguridad?

Debido a sus preocupaciones, la respuesta breve es «no».

La verdad es que la formación adecuada no debería parecer una vorlesung.

Secure Code Warrior, un enfoque guiado por personas, el desarrollo en el área de la codificación segura, el desarrollador activo en sus funciones en el área de la codificación segura. Nuestra plataforma de aprendizaje probada ofrece a los equipos de desarrollo y seguridad un aprendizaje contextualizado y altamente relevante dentro de sus flujos de trabajo preferidos. Ty les permite no solo encontrar fallos de seguridad, sino también evitar que se produzcan.

Esta formación orientada a la práctica es una oportunidad para seguir formándose, un paso adelante en la carrera profesional. La única ventaja para los desarrolladores es que se toman en serio la necesidad de subsanar mis carencias en materia de seguridad y se unen al resto del equipo para crear un estándar de código más uniforme.

Si desea obtener más información y ver el impacto potencial en la capacidad de sus equipos para «empezar desde cero» y enviar código seguro más rápidamente sin comprometer la seguridad, reserve ahora una demostración.

‍*Resultado de la reacción ante la prevención: El rostro cambiante de la seguridad de las aplicaciones. Secure Code Warrior Evans Data Corp. 2020

¡Ya está aquí el BSIMM 8! Fantástico. El único estudio a gran escala sobre las prácticas de seguridad que utilizan las grandes empresas para desarrollar software seguro.

El estudio lo llevan a cabo expertos en seguridad de aplicaciones bajo la dirección de Gary McGraw, con el fin de garantizar que los datos recopilados sean coherentes y correctos y ofrezcan una visión de las actividades diarias de 300 000 desarrolladores. En mi última presentación, hago referencia a las cifras de BSIMM, en las que menciono que, de media, hay dos expertos en seguridad de aplicaciones por cada 100 desarrolladores.

Sin embargo, esto ya no era así desde BSIMM4. BSIMM8 informa de que esta cifra es aún menor y ahora se sitúa en 1,6 por cada 100 desarrolladores. Contratar a más expertos en seguridad de aplicaciones simplemente no funcionará, ya que hay escasez de talento. Ahora más que nunca, debemos proporcionar a los desarrolladores las herramientas y la formación necesarias para escribir código seguro que sea práctico, fácilmente accesible y escalable para las empresas.

El informe también muestra que la actividad más frecuente en la práctica formativa consiste, en un 67 % de los casos, en ofrecer a todos los empleados una formación de sensibilización. Empecé a cartografiar lo que hacemos en Secure Code Warrior SCW) en la práctica formativa y descubrí que nuestra solución cubre las 12 actividades de la práctica formativa, desde el nivel 1 (lo que hacen la mayoría de las empresas) hasta el nivel 3 (lo que hacen muy pocas empresas).

¡Una única solución que se puede utilizar para toda la práctica! De las 12 prácticas de formación, las más interesantes para la Secure Code Warrior son:

• Nivel 1: Ofrecer formación en materia de sensibilización.
• Nivel 1: Ofrezca cursos de formación personalizados bajo demanda.
• Nivel 2: Mejorar los satélites mediante el entrenamiento (métricas SCW)
• Nivel 3: Recompensa por los avances en el marco del plan de estudios (insignias SCW)
• Nivel 3: Impartición de formación para proveedores o empleados subcontratados (evaluaciones SCW).
• Nivel 3: Organice eventos externos sobre seguridad de software (modo torneo SCW).
• Etapa 3: Identifique el satélite mediante entrenamiento (métricas SCW).

¿Está seguro de que su solución actual tiene en cuenta estas prácticas?

A principios de noviembre, la Universidad de Cambridge publicó su investigación titulada Trojan-Source. Esta investigación se centró en cómo se pueden ocultar puertas traseras utilizando caracteres de formato direccionales en el código fuente y en los comentarios. Estos pueden utilizarse para crear código cuya lógica es interpretada de forma diferente por el compilador que por un revisor de código humano.

Esta vulnerabilidad es nueva, aunque Unicode se ha utilizado de forma indebida en el pasado, por ejemplo, ocultando la verdadera extensión de un archivo invirtiendo la dirección de la última parte del nombre del archivo. Las investigaciones más recientes han revelado que muchos compiladores ignoran los caracteres Unicode en el código fuente sin previo aviso, mientras que los editores de texto, incluidos los editores de código, pueden reordenar las líneas con comentarios y el código basado en ellos. Por lo tanto, puede ocurrir que el editor muestre el código y los comentarios de forma diferente y en un orden distinto al que los analiza el compilador, incluso intercambiando el código y los comentarios.

Siga leyendo para obtener más información. O si desea arremangarse y probar el hackeo simulado de Trojan Source, visite nuestra misión pública y gratuita para experimentarlo por sí mismo.

Texto bidireccional

Uno de estos ataques de código fuente troyano utiliza el algoritmo Unicode Bidi (bidireccional), que procesa la combinación de texto con un orden de visualización diferente, como el inglés (de izquierda a derecha) y el árabe (de derecha a izquierda). Los caracteres de formato direccional se pueden utilizar para reorganizar la agrupación y mostrar el orden de los caracteres.

La tabla anterior contiene algunos de los caracteres de anulación bidireccional relevantes para el ataque. Tomemos, por ejemplo,

RLI e d o c PDI

La abreviatura RLI significa «aislar de derecha a izquierda». Aislará el texto de su contexto (delimitado por PDI, aislamiento direccional emergente) y lo leerá de derecha a izquierda. El resultado es:

c o d e

Sin embargo, los compiladores e intérpretes no suelen procesar los caracteres de control de formato, incluidas las sobrescrituras bidireccionales, antes de analizar el código fuente. Si simplemente ignoran los caracteres de formato direccionales, analizan:

e d o c

¿Vino viejo en botellas nuevas?

Por supuesto, esto no es nada nuevo bajo el sol. En el pasado , se utilizaban caracteres de formato direccional en los nombres de los archivos para ocultar su naturaleza maliciosa. Un archivo adjunto de correo electrónico que aparece como «myspecialexe.doc» podría parecer bastante inocente si no fuera por el carácter RLO (sobrescritura de derecha a izquierda) presente, que indica el nombre real «myspecialcod.exe».

El ataque Trojan Source inserta caracteres de formato direccionales en comentarios y cadenas de caracteres del código fuente, ya que estos no generan errores de sintaxis ni de compilación. Estos caracteres de control cambian el orden de visualización de la lógica del código, de modo que el compilador lee algo completamente diferente a lo que lee un ser humano.

Por ejemplo, un archivo que contenga los siguientes bytes en este orden:

Se reordena de la siguiente manera según los signos de formato direccionales.

De este modo, el código se renderiza de la siguiente manera cuando no se invocan explícitamente los caracteres para el formato direccional:

El RLO convierte el corchete de cierre en un corchete de apertura y viceversa en la última línea. El resultado de la ejecución de este código sería: «Usted es administrador». La comprobación de administrador se ha comentado, pero los caracteres de control dan la impresión de que todavía estaba presente.

(Fuente: https://github.com/nickboucher/trojan-source/blob/main/C%23/commenting-out.csx)

¿Cómo podría afectarte eso?

Muchos lenguajes son vulnerables a este ataque: C, C++, C#, JavaScript, Java, Rust, Go y Python, y se cree que hay más. Ahora bien, es posible que al desarrollador medio no le guste ver caracteres de formato direccional en el código fuente, pero un principiante podría encogerse de hombros y no darle importancia. Además, la visualización de estos caracteres depende en gran medida del IDE, por lo que nunca se puede garantizar que se reconozcan.

Pero, ¿cómo pudo colarse esta vulnerabilidad en el código fuente? En primer lugar, esto puede suceder cuando se utiliza código fuente de fuentes no fiables, en las que se han pasado por alto contribuciones de código malicioso. En segundo lugar, podría deberse a la simple copia y pegado de código de Internet, algo que la mayoría de los desarrolladores hemos hecho alguna vez. La mayoría de las empresas dependen de componentes de software de varios proveedores. Esto plantea la pregunta de hasta qué punto podemos confiar plenamente en este código y depender de él. ¿Cómo podemos buscar código fuente que contenga puertas traseras ocultas?

¿De quién es ese problema?

Por un lado, los compiladores y los procesos de compilación deberían prohibir las líneas de código fuente con más de una dirección, a menos que una dirección se limite estrictamente a cadenas de caracteres y comentarios. Tenga en cuenta que un carácter de formato direccional en una cadena de caracteres o un comentario puede prolongar un cambio de dirección hasta el final de la línea si no se muestra. En general, los editores de código deben renderizar y resaltar explícitamente los caracteres Unicode sospechosos, como los homógrafos y los caracteres de formato direccional. Desde noviembre, GitHub añade un signo de advertencia y un mensaje a cada línea de código que contiene texto Unicode bidireccional, aunque no resalta dónde se encuentran estos caracteres en la línea. Esto puede seguir dando lugar a que se cuelen cambios de dirección maliciosos junto con cambios de dirección inofensivos.

Es imprescindible sensibilizar a los desarrolladores y revisores de código al respecto. Por este motivo, hemos creado una solución completa que ilustra la vulnerabilidad de seguridad. Actualmente, esta solución completa está disponible para Java, C#, Python, GO y PHP.

Si quieres saber más, prueba nuestra simulación (misiones públicas) de Trojan Source y lee la investigación sobre las fuentes troyanas.

Simulación en Java

Simulación en C#

Simulación en PHP

Simulación en GO

Simulación en Python

¿Qué es el análisis estático?

El análisis estático es el análisis automatizado del código fuente sin ejecutar la aplicación.

Si el análisis se lleva a cabo durante la ejecución del programa, se denomina análisis dinámico.

El análisis estático se utiliza con frecuencia para detectar lo siguiente:

• Brechas de seguridad.
• Problemas de rendimiento.
• Incumplimiento de las normas.
• Uso de construcciones de programación obsoletas.

¿Cómo funciona una herramienta de análisis estático?

El concepto básico común a todas las herramientas de análisis estático consiste en buscar en el código fuente determinados patrones de codificación a los que se asigna una advertencia o información.

Dies könnte so einfach sein wie „JUnit 5-Testklassen müssen nicht 'öffentlich' sein“. Oder etwas, das komplex zu identifizieren ist, wie „Nicht vertrauenswürdige Zeichenketteningabe, die in einer SQL-Ausführungsanweisung verwendet wird“.

Las herramientas de análisis estático difieren en la forma en que implementan esta funcionalidad.

• Tecnología de análisis de código fuente para la creación de un árbol sintáctico abstracto (AST).
• Comparación de texto con expresiones regulares,
• una combinación de lo anterior.

La comparación de expresiones regulares en texto es muy flexible, es fácil escribir reglas para la comparación, pero a menudo puede dar lugar a muchos resultados falsos positivos, y las reglas de comparación no conocen el contexto del código circundante.

El AST-Matching trata el código fuente como código de programa y no solo como archivos llenos de texto. Esto permite una comparación más específica y contextualizada, y puede reducir el número de falsos positivos que se notifican contra el código.

Análisis estático en integración continua

Los análisis estáticos se suelen realizar durante el proceso de integración continua (CI) para generar un informe sobre los problemas de cumplimiento que se puede revisar con el fin de obtener una visión general objetiva de la base de código a lo largo del tiempo.

Algunos usuarios utilizan el análisis estático como medida objetiva de la calidad de su código, configurando la herramienta de análisis estático para que solo se midan determinadas partes del código y solo se informe sobre un subconjunto de reglas.

La objetividad está garantizada por las reglas utilizadas, ya que estas no cambian con el tiempo en su evaluación del código. Es evidente que la combinación de las reglas utilizadas y su configuración es una decisión subjetiva, y diferentes equipos optan por utilizar diferentes reglas en diferentes momentos.

Es útil realizar el análisis estático en CI, pero puede retrasar la retroalimentación al programador. Los programadores no reciben retroalimentación durante la programación, sino más tarde, cuando el código pasa por la herramienta de análisis estático. Otro efecto secundario de la ejecución del análisis estático en CI es que los resultados son más fáciles de ignorar.

Para que los equipos presten más atención a los resultados del análisis estático, normalmente es posible configurar una métrica de umbral en el proceso de compilación, de modo que la compilación falle si se supera la métrica, por ejemplo, una serie de reglas activadas.

Análisis estático en el IDE

Para obtener comentarios más rápidamente, existen muchos complementos IDE que ejecutan las reglas del análisis estático en el IDE cuando es necesario o a intervalos regulares, cuando cambia el código.

Las infracciones de las reglas pueden mostrarse en el IDE mientras el programador escribe el código. Para dificultar el incumplimiento de las reglas, las infracciones a menudo pueden configurarse para que se muestren en el editor como código subrayado.

Personalmente, creo que es un método útil para mejorar mi código, especialmente cuando trabajo con una nueva biblioteca cubierta por la herramienta de análisis estático. Sin embargo, puede resultar «ruidoso» en caso de falsos positivos o reglas que no le interesen. No obstante, esto se soluciona dando un paso adicional para configurar la herramienta de análisis estático de modo que se ignoren determinadas reglas.

Corrección de código basada en reglas de análisis estático

En la mayoría de las herramientas de análisis estático, la corrección de la regla queda a cargo del programador, por lo que este debe comprender la causa de la infracción de la regla y saber cómo solucionarla.

Muy pocas herramientas de análisis estático ofrecen también la posibilidad de corregir las infracciones, ya que la corrección suele depender del equipo, la tecnología utilizada y los estilos de codificación acordados.

Reglas estándar

Se puede generar una confianza errónea en la calidad de las reglas cuando las herramientas de análisis estático están equipadas con reglas estándar. Es tentador creer que cubren todos los problemas con los que podría encontrarse un programador y todas las circunstancias en las que debería aplicarse la regla. A veces, las circunstancias en las que debería aplicarse una regla son sutiles y pueden no ser fáciles de detectar.

Existe la esperanza de que, mediante el uso de una herramienta de análisis estático y un examen más detallado de las reglas y las infracciones, los programadores desarrollen la capacidad de reconocer y evitar el problema en el contexto de su dominio específico.

Si el dominio requiere reglas de contexto, es posible que las herramientas de análisis estático no dispongan de reglas que se ajusten a su dominio o biblioteca y, además, estas herramientas suelen ser difíciles de configurar y ampliar.

Molestias

Ninguno de estos «molestias» es insuperable:

• falso positivo
• Falta de correcciones
• Configuración para ignorar reglas
• Añadir reglas específicas del contexto

Sin embargo, a menudo se utilizan como excusas para evitar desde el principio el uso de herramientas de análisis estático, lo cual es una lástima, ya que el uso del análisis estático puede ser extremadamente útil para:

• Destacar mejores enfoques para los desarrolladores jóvenes.
• Reciba comentarios rápidos sobre infracciones claras de codificación.
• Identifique problemas oscuros con los que el programador nunca se ha encontrado.
• Confirmar que el programador ha elegido un buen enfoque de codificación (siempre que no se hayan notificado infracciones).

Herramientas de análisis estático basadas en IDE

Como colaborador individual en un proyecto, me gusta utilizar herramientas de análisis estático que se ejecutan en el IDE, lo que me permite obtener una respuesta rápida sobre mi código.

Esto complementa cualquier proceso de revisión de solicitudes de extracción y la integración de CI que pueda tener un proyecto.

Intento encontrar herramientas que me proporcionen una ventaja y mejoren mi flujo de trabajo individual.

Cuando las herramientas se ejecutan en el IDE, puede resultar tentador considerarlas sinónimos, ya que suelen utilizar la misma interfaz gráfica de usuario básica y el mismo enfoque de configuración.

Las herramientas pueden tener funciones o conjuntos de reglas que se superponen, pero para obtener el máximo beneficio, instalo varias herramientas para aprovechar sus puntos fuertes.

Las herramientas IDE para análisis estáticos que utilizo activamente al programar se enumeran a continuación:

• Las inspecciones integradas de IntelliJ: patrones de codificación habituales
• SpotBugs — errores frecuentes
• SonarLint: patrones generales de uso
• CheckStyle: patrones de estilo habituales
• Sensei Secure Code Warrior creación de reglas personalizadas

Las utilizo todas porque funcionan bien juntas, se complementan y se complementan entre sí.

Inspecciones de IntelliJ

Si utiliza IntelliJ, ya está utilizando sus inspecciones.

Estas son reglas para análisis estáticos que se marcan en el IDE. Algunas de ellas también disponen de opciones QuickFix con las que se puede reescribir el código para solucionar el problema.

Las reglas se pueden activar y desactivar, y puede seleccionar el nivel de error con el que se resaltan en el IDE.

Hay muchas inspecciones buenas en IntelliJ. Lo sé porque las he leído mientras escribo esto. Utilizo las inspecciones de IntelliJ como valores predeterminados y no las he configurado, pero para sacar el máximo partido a las inspecciones, debe leerlas, identificar las que son relevantes para su estilo de codificación y configurar el nivel de advertencia para que las note en el código.

Lo mejor de las inspecciones de IntelliJ es que están incluidas de forma gratuita en el IDE y ayudan a desarrollar la memoria muscular de:

• Detección de advertencias y errores en el código fuente mientras se escribe el código.
• Mueva el puntero del ratón sobre el código marcado para conocer las infracciones de las normas.
• Utilice Alt+Intro para aplicar una solución rápida al problema.

Detectar errores

Detectar errores El complemento IntelliJ utiliza el análisis estático para alertarle sobre errores en su código.

SpotBugs se pueden configurar en los ajustes de IntelliJ para que se analice su código. Las reglas que se utilizan realmente se encuentran en la pestaña Detector.

Suelo utilizar SpotBugs después de escribir y revisar mi código. A continuación, ejecuto la opción «Analizar archivos de proyecto, incluidas las fuentes de prueba».

Esto me ayuda a identificar errores, código obsoleto y optimizaciones obvias. También me obliga a investigar algunas de las infracciones notificadas para ayudarme a decidir qué hacer.

SpotBugs detecta problemas, pero no ofrece acciones QuickFix para intentar resolverlos.

SpotBugs es fácil de configurar y lo considero una segunda opinión objetiva y útil que puedo obtener en mi IDE.

Sonar Lint

El complemento Sonar Lint.

SonarLint se puede configurar en los ajustes de IntelliJ para seleccionar las reglas según las cuales se valida el código.

De forma predeterminada, SonarLint se ejecuta en tiempo real y muestra los problemas del código actual que está editando.

SonarLint no ofrece soluciones rápidas, pero la documentación relacionada con los informes de infracciones suele ser clara y estar bien documentada.

En el pasado, SonarLint me ha resultado útil para informarme sobre nuevas funciones de Java que no conocía en las versiones más recientes de Java.

Seguir comprobando

Comprobar el estilo El complemento ofrece una combinación de reglas de formato y calidad del código.

El complemento CheckStyle se suministra en un paquete con «Sun Checks» y «Google Checks».

Las definiciones de estos términos se pueden encontrar fácilmente en Internet.

CheckStyle ofrece el mayor valor añadido cuando un proyecto ha dedicado tiempo a crear su propio conjunto de reglas. Entonces, el complemento IDE se puede configurar para que utilice este conjunto de reglas y los programadores pueden realizar un análisis antes de transferir el código a CI.

CheckStyle se utiliza muy a menudo como complemento de fallo de compilación para procesos de CI cuando el número de infracciones de CheckStyle supera un umbral determinado.

Sensei

Sensei utiliza un análisis estático basado en un árbol sintáctico abstracto (AST) para comparar código y crear QuickFixes. Esto permite identificar de forma muy específica el código que presenta problemas.

El AST permite a QuickFixes, que están asignados a una receta, comprender el código circundante, por ejemplo, cuando se añade una nueva clase al código, cada importación para esta clase se añade solo una vez al archivo fuente y no para cada sustitución.

Sensei desarrollado para facilitar la creación de reglas de coincidencia personalizadas que podrían no existir en otras herramientas o que serían difíciles de configurar.

En lugar de modificar un archivo de configuración, toda la configuración se puede realizar en la interfaz gráfica de usuario. Al crear nuevas recetas, la interfaz gráfica de usuario permite identificar fácilmente a qué código se adapta la receta. Y al definir las soluciones rápidas, se puede comparar inmediatamente el estado del código antes y después. Esto facilita la creación de recetas muy contextuales, es decir, específicas para equipos, tecnologías e incluso programadores individuales.

Utilizo Sensei combinación con otras herramientas de análisis estático, por ejemplo, la mayoría de las herramientas de análisis estático detectan problemas, pero no los solucionan. Un caso de uso frecuente de Sensei Sensei la búsqueda adecuada de la otra herramienta en Sensei y ampliarla con una solución rápida. Esto tiene la ventaja de que la solución personalizada aplicada ya cumple con los estándares de codificación de su proyecto.

Periódicamente creo Sensei que ya están incluidas en el conjunto IntelliJ Intensions, porque el informe Intension no se ajusta del todo al contexto que he creado o porque la solución rápida proporcionada por IntelliJ no se ajusta al patrón de código que quiero utilizar.

Complemento las herramientas existentes, en lugar de intentar sustituirlas por completo.

Sensei también Sensei ser muy útil si identifica una variante contextual de una regla general, por ejemplo, si utiliza una biblioteca SQL que no es compatible con la herramienta de análisis estático, pero las reglas SQL generales del motor de análisis estático siguen siendo válidas, entonces puede utilizar Sensei para crear variantes Sensei de estas reglas.

Sensei no Sensei muchas recetas genéricas como las herramientas de análisis estático mencionadas. Su punto fuerte es que facilita la creación de nuevas recetas, completas con QuickFixes configuradas para adaptarse a su estilo de codificación específico y a sus casos de uso.

NOTA: Estamos trabajando en un archivo público con recetas para cubrir casos de uso genéricos, y lo encontrarás aquí.

Resumen

Tiendo a elegir herramientas que funcionen juntas, sean configurables y fáciles de ampliar para adaptarse a mi contexto específico. Llevo años utilizando herramientas de análisis estático en el IDE para identificar problemas y aprender más sobre los lenguajes de programación y las bibliotecas que utilizo.

Utilizo todas las herramientas mencionadas en combinación:

• IntelliJ Intentions ayuda a detectar inmediatamente los problemas de código más frecuentes, a menudo con las soluciones rápidas correspondientes.
• SpotBugs encuentra errores sencillos que quizá se me hayan pasado por alto y me avisa de problemas de rendimiento.
• SonarLint identifica funciones Java que yo desconocía y me pide que modele mi código adicionalmente.
• CheckStyle me ayuda a mantener un estilo de codificación acordado, que también se aplica durante la integración continua.
• Sensei me Sensei a crear QuickFixes para ampliar escenarios comunes que se encuentran con herramientas de análisis estático y a crear recetas específicas para proyectos o tecnologías que son difíciles de configurar en otras herramientas.

---

Instale Sensei IntelliJ con «Preferences\ Plugins» (Mac) o «Settings\ Plugins» (Windows) y, a continuación, busqueSensei Code».

Encontrará un repositorio con código de ejemplo y recetas para casos de uso habituales en la cuenta de GitHub de Secure Code Warrior proyectosensei».

https://github.com/securecodewarrior/sensei-blog-examples

Más información sobre Sensei

Una forma segura de mejorar la seguridad de su empresa es formar a los desarrolladores en métodos probados para una programación segura. Estos se proporcionan en un marco que incluye bases de referencia y puntos de referencia para ofrecer a los desarrolladores las vías de aprendizaje específicas que necesitan. Sin embargo, la codificación segura no es una solución puntual, sino que debe convertirse en una forma de vida arraigada en el ADN de una empresa. Los desarrolladores no solo deben cambiar al lado izquierdo o empezar por la izquierda, sino también permanecer en la izquierda.

No basta con ofrecer formación. Las empresas deben asegurarse de que los desarrolladores hayan completado toda la formación y sigan las mejores prácticas al inicio del ciclo de desarrollo de software (SDLC) como parte de sus rutinas diarias. Deben supervisar el rendimiento de los desarrolladores y medir sus progresos tanto según los estándares internos como según los estándares del sector. De este modo, se puede medir de forma eficaz el retorno de la inversión que se obtiene de las inversiones en formación.

Code Warriors sichern Vertrauenswert ofrece información sobre el rendimiento de cada desarrollador y agrega los datos para permitir una evaluación del rendimiento general de su empresa. Muestra la eficacia de los programas de formación continua y, al mismo tiempo, identifica las áreas que necesitan mejorar. Además, contribuye a garantizar el cumplimiento de los numerosos requisitos normativos, ya sean los del Reglamento General de Protección de Datos (RGPD), la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), la Ley de Protección al Consumidor de California (CCPA) u otros.

Nuestras investigaciones han demostrado que la formación en código seguro funciona. Trust Score utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones. Muestra la eficacia de la iniciativa a la hora de subsanar las brechas de seguridad y cómo se puede hacer aún más eficaz.

La formación mejora la seguridad, siempre que los desarrolladores la reciban.

Durante años, en el sector del software parecía ser deseable utilizar métodos de seguridad probados al inicio del ciclo de vida del desarrollo de software (SDLC). Sería estupendo disponer de ellos algún día, pero hoy en día ya no son una prioridad. Sin embargo, la velocidad cada vez mayor del desarrollo de software y el ritmo cada vez más rápido de las ciberamenazas sofisticadas y destructivas, que a menudo se basan en la lucha contra las vulnerabilidades del software, han hecho que la codificación segura sea indispensable. La Agencia de Seguridad Cibernética y de Infraestructuras (CISA) se centra en el código de seguridad con su iniciativa «Seguro desde el diseño», que se ha convertido en un movimiento internacional.

Nuestras investigaciones lo han demostrado: existe una clara relación entre el enfoque «seguridad desde el diseño» y la reducción de las vulnerabilidades del software. Analizamos los datos relativos a la reducción de las brechas de seguridad del 26 % de los clientes de SCW y descubrimos que la formación de los desarrolladores había dado lugar a una reducción del número de vulnerabilidades del software de entre el 22 % y el 84 %. Este rango se debió a variables como el tamaño de las empresas participantes (las empresas más pequeñas con relativamente pocos desarrolladores obtuvieron un rango de resultados más drástico) y si un grupo de aprendizaje se centraba en un problema específico. En este caso, se corrigió un mayor porcentaje de errores.

Los resultados con las grandes empresas fueron bastante consistentes. Las empresas con 7000 o más desarrolladores pueden esperar una reducción de entre el 47 % y el 53 % en las vulnerabilidades de seguridad gracias al desarrollo continuo de los desarrolladores en el ámbito de la seguridad. Por ejemplo, una empresa estadísticamente promedio con más de 10 000 desarrolladores, que no es líder en la plataforma ni tiene el índice de referencia más alto, registró una reducción del 53 % en las vulnerabilidades de seguridad.

Por supuesto, el entrenamiento más eficaz no requiere un enfoque global que se adapte a todos. Debe adaptarse al entorno de trabajo de los desarrolladores y al tipo de desarrollo que realizan.

Las empresas deberían empezar a desarrollar las habilidades básicas que los desarrolladores necesitan para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de formación continua deberían consistir en cursos prácticos y ágiles en escenarios reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Además, deberían ser lo suficientemente flexibles como para poder integrar los cursos en su plan de trabajo.

Para los desarrolladores, las habilidades van más allá de escribir código. Deben ser capaces de revisar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho un uso intensivo de los modelos de IA generativa y, en general, han elogiado sus ventajas, ya que les ayudan a crear más código más rápidamente. Aunque el 76 % de los encuestados por Snyk afirmaron que el código generado por IA es más seguro que el creado por humanos, el 56,4 % siguió afirmando que la IA a veces o con frecuencia provoca errores. La misma encuesta reveló que el 80 % de los desarrolladores omite la aplicación de las directrices de seguridad del código de IA, lo que sugiere que los problemas de código en el código de IA no se solucionan.

Con un enfoque de seguridad desde el diseño, los desarrolladores, en colaboración con los equipos de seguridad y no separados de ellos, abordarán estos problemas en una fase temprana del ciclo de vida del desarrollo de software (SDLC) e identificarán y corregirán los errores antes de que el código entre en producción.

La puntuación de confianza mide el rendimiento de las personas y las empresas.

También es importante que la formación sea continua. Las empresas deben introducir una cultura en la que la seguridad sea lo primero, que se aplique en todos los ámbitos, desde los niveles más altos de la empresa hasta los rangos más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el ciclo de vida del desarrollo de software (SDLC). La tecnología y los ciberdelincuentes no dejan de evolucionar, al igual que la ciberseguridad. Para las empresas que producen software, los desarrolladores con formación en seguridad son la base.

Por eso es tan importante demostrar que la formación ha sido eficaz, tan importante como la propia formación. Trust Score no solo ofrece información sobre el rendimiento de cada desarrollador y de la empresa en su conjunto, sino que también permite a las empresas analizar en detalle los datos de rendimiento para centrarse en determinados lenguajes, equipos de desarrolladores o categorías de software. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar áreas en las que es necesario mejorar la formación, por ejemplo, cuando no tiene el efecto deseado en el rendimiento diario de los desarrolladores.

Trust Score ha permitido a las empresas evaluar el rendimiento de los desarrolladores y verificar si han adquirido —y utilizan— las competencias de seguridad necesarias para garantizar que han obtenido su licencia para programar. Permite a las empresas conceder a los desarrolladores cualificados un acceso fiable a sus datos más sensibles y a sus proyectos de software críticos, al tiempo que deniega dicho acceso a aquellos que utilizan las herramientas y aún no están del todo preparados.

Prueba de una cultura de seguridad en transformación

La ciberseguridad ya no es solo un problema de seguridad. Es un problema empresarial que afecta a la integridad del activo más valioso de muchas empresas: sus datos. Una infracción grave afecta al funcionamiento, la reputación y, posiblemente, la rentabilidad de una empresa. Las autoridades reguladoras son conscientes de la importancia de la ciberseguridad. Han introducido normativas cada vez más estrictas y se han mostrado dispuestas a emprender acciones legales contra los CISO y, posiblemente, otros miembros de la alta dirección, llegando incluso a presentar denuncias penales, como en los casos de Uber y SolarWinds.

La introducción de una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento fundamental de esta cultura. La formación específica y la recualificación como parte de una mentalidad cultural, así como la demostración de que la formación ha contribuido a cambiar la cultura empresarial, pueden ayudar a las empresas a reforzar sus medidas de seguridad.

Los programas de seguridad orientados a los desarrolladores son valiosos. La prueba está en la confianza.